WordPress-Sicherheit: Die wichtigsten Security-Plugins

Das ursprünglich als Weblog gestartete Projekt WordPress ist mittlerweile in 51 Sprachen verfügbar und die aktuelle Version wurde bis November 2015 knapp 27 Millionen Mal heruntergeladen. Dabei setzen nicht nur kleine und mittelständische Unternehmen auf das freie CMS – auch Medienschwergewichte wie die New York Times, LinkedIn oder CNN profitieren von der Technik. Für kommerzielle wie private Nutzer gleichermaßen reizvoll: Die schier riesige Auswahl an Plugins, Themes und Widgets. Über die Open-Source-Plattform können mittlerweile über 30.000 Plugins heruntergeladen werden – die Zahl steigt täglich. Neben beliebten SEO-Tools gibt es auch zahlreiche Sicherheitsplugins. Ob zur Absicherung nach außen oder als interne Sicherheitsvorkehrungen: Sicherheitsplugins erhöhen die WordPress-Sicherheit enorm. Denn so einfach das CMS zu bedienen ist, so einfach ist es für Hacker auch, sich unerlaubten Zugriff zu verschaffen – es sei denn, man sorgt als Administrator schon bei der Installation für ein sicheres System. Mit den folgenden WordPress Security Plugins lässt sich die Sicherheit der eigenen Website wirkungsvoll erhöhen.

Plugins zur Abwehr von Schadsoftware und Spam

Wie der eigene PC durch Anti-Viren-Software, sollte auch das eigene Webprojekt durch spezielle WordPress Security Plugins geschützt werden. Erkennt man einen Eindringling gar nicht oder zu spät, kann das zum massiven Einbruch des Website-Traffics führen. Denn Suchmaschinen wie Google erkennen infizierte Websites und senden eine Warnmeldung an die Nutzer, sodass selbige die Seite künftig nicht mehr aufrufen.

Beim WordPress-Hosting mit IONOS schützt das IONOS Site Lock-Feature aktiv vor Schadsoftware und unbefugten Zugriffen. Mit dem Programm können bis zu 500 Unterseiten gescannt und gezielt auf Sicherheitslücken gecheckt werden. Folgende WordPress Security Plugins bieten darüber hinaus zusätzlichen Schutz:

Das Plugin Anti-Malware Security durchsucht die gesamte Installation nach Malware und Viren. Im nächsten Schritt hilft das Plugin dem User dann bei der Beseitigung eventuell aufgespürter Schadsoftware. Nach einem ähnlichen Prinzip funktioniert das AntiVirus Plugin, das ebenfalls vor Malware und Spam schützt, um WordPress sicher zu machen. AntiVirus deckt vorhandene Sicherheitslücken auf und schützt so vor möglichen Exploits – also der systematischen Ausnutzung dieser Lücken. Als Administrator kann man dieses Plugin auch nutzen, um regelmäßige Scans und Reports durchführen zu lassen. Auf Wunsch informiert einen das Plugin auch via E-Mail, wenn ein Schadprogramm gefunden wurde. Außerdem kann man eine Whiteliste erstellen – also eine Liste derjenigen Personen und Institutionen, die als vertrauenswürdig gelten. Ein weiteres nützliches Plugin ist Bad Behavior: Es hilft dabei, Link-Spam in Kommentarspalten und Gästebüchern zu verhindern, indem es Spam-Bots abblockt, bevor sie überhaupt agieren können.

Plugins für maximale Login-Sicherheit

Die Wichtigkeit eines sicheren Passworts wird oft unterschätzt. User sollten sich stets an die WordPress-Tipps zur Passwortsicherheit halten; zusätzlichen Schutz können ebenfalls wieder Plugins bieten. So ist das Plugin Limit Login Attempts ein nützliches Werkzeug gegen Hackerangriffe, die als sogenannte Brute-Force-Attacken klassifiziert werden. Dabei versuchen Hacker, die Login-Daten der User zu entschlüsseln, indem sie häufig gewählte Passwörter mit den jeweiligen Nutzernamen kombinieren. Gelingt ihnen der unerlaubte Login, kann das Datenverluste oder unerlaubte Änderungen des Quellcodes zur Folge haben. Beim Hackversuch probieren die Skripte teilweise tausende von Passwörtern pro Minute durch – es sei denn, der Nutzer hat das Plugin Limit Login Attempts installiert, denn dies begrenzt die Zahl der erlaubten Fehlversuche bei der Anmeldung: So lässt sich beispielsweise einstellen, dass nach vier Fehlversuchen der Account für einen längeren Zeitraum gesperrt bleibt. Da das Plugin die IP des Nutzers erfasst, hat dies jedoch keinen Einfluss auf die Login-Versuche des Administrators. Mittlerweile bieten die meisten All-In-One-Lösungen eine sogenannte Brut-Force- Firewall als Premium-Feature für eine möglichst hohe WordPress-Sicherheit.

Zweite Kennwort-Ebene installieren

Über das WP Secure Login Plugin kann man den Account zusätzlich zu den vorhanden Kennwörtern noch mit einer weiteren Kennwort-Instanz sichern. Das zusätzliche Kennwort ist nur über die App von Google einsehbar und wird regelmäßig erneuert. Ähnlich funktioniert das Plugin Two-Factor Authentication, mit dem man auf allen Nutzerebenen eine zweite Username- und Passwort-Instanz ausspielen kann.

Plugins als All-In-One-Lösungen für WordPress-Sicherheit

Sogenannte All-In-One-Lösungen kombinieren unterschiedliche Sicherheitsfeatures in einem WordPress Security Plugin. Ziel ist es, Sicherheitslücken zu vermeiden und vorhandene schnellstmöglich zu schließen – also über ein einzelnes Plugin WordPress so sicher wie möglich zu machen. Der Vorteil von solchen All-In-One-Lösungen wie iThemes Security ist, dass sie auch für wenig erfahrene Nutzer geeignet sind. Die essentiellen Features setzen nur einige Grundkenntnisse voraus. So kann beispielweise auch das Acunetix WP Security Plugin von weniger versierten Usern installiert werden. Es dient zur Überwachung der Website hinsichtlich potentieller Sicherheitsrisiken. Doch nicht nur die bloße Identifikation von Problemen ist möglich, der Nutzer erhält zusätzlich auch Handlungsempfehlungen und Tools zur Lösung vorhandener Probleme.

Solche Plugins können durch ihre zusätzlichen Features auch für erfahrene Nutzer zum geeigneten Werkzeug werden. Das Plugin Acunetix WP Security bietet beispielsweise einen Passwort-Generator sowie ein spezielles Datenbank-Tool. Das Plugin Bulletproof Security ermöglicht die Abwehr von spezifischen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Wichtige Quellcode-Dateien stehen so unter besonderem Schutz.

WordPress Security Plugins für regelmäßige Updates

Beim Hosting-Partner IONOS werden einige Plugins bereits vorinstalliert. Weitere WordPress Security Plugins können – wie andere Erweiterungen auch – ohne weiteres von den Usern selbst installiert werden. Dabei sollte man natürlich immer auf vertrauenswürdige Quellen achten. Auch die Aktualität des Plugins ist wichtig – selbige überprüft beispielsweise der WP Update Notifier. Grobe Sicherheitslücken werden im besten Fall schnell erkannt und von den Entwicklern geschlossen. Von dieser Weiterentwicklung profitiert man natürlich nur, sofern regelmäßige Updates durchführt werden. Der WP Update Notifier ist also kein Security-Plugin im klassischen Sinne, sorgt aber auf lange Sicht für die aktuellste und damit auch sicherste Version von Plugins, Themes und anderen Installationen.

IONOS-Kunden profitieren hier vom sogenannten Safe-Mode. Wird dieser bei Installation aktiviert, werden alle Anwendungen automatisch aktuell gehalten.

Mit Security-Check WordPress sicher machen

Will man den Security-Status seiner Website kontrollieren, empfiehlt sich das Plugin Security Ninja, mit dem man die eigene Seite durch rund 30 Tests überprüfen lassen kann. Unter anderem simuliert das Programm einen Brut-Force-Angriff. Schwachstellen können so direkt aufgedeckt und mithilfe des Plugins und anderen Erweiterungen schnell behoben werden.

Tipp

Website-Betreiber platzieren Cookies zu Analyse-, Marktforschungs- oder Werbezwecken auf den Rechnern ihrer Website-Besucher. Da das Opt-in bei Cookies mittlerweile in vielen Ländern gesetzlicher Standard ist, gibt es dafür eine Reihe ausgezeichneter Plugins. WordPress-Cookie-Plugins – die 4 besten Opt-in-Lösungen.


Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und gratis Online-Marketing Whitepaper für lokale Anbieter sichern!